Kasseika Ransomware
קבוצת תוכנות הכופר בשם Kasseika אימצה לאחרונה את שיטת ההתקפה Bring Your Own Vulnerable Driver (BYOVD) כדי לנטרל תהליכי אבטחה במערכות Windows שנפגעו. גישה זו מיישרת את Kasseika עם קבוצות אחרות כגון Akira , AvosLocker, BlackByte ו- RobinHood , שמשתמשות גם בטכניקת BYOVD כדי לכבות תהליכים ושירותים נגד תוכנות זדוניות, מה שמקל על פריסת תוכנות כופר.
זוהתה תחילה על ידי מומחי אבטחת סייבר באמצע דצמבר 2023, Kasseika חולקת קווי דמיון עם קבוצת BlackMatter שהתפרקה כעת, שהופיעה בעקבות השבתת DarkSide . ישנם אינדיקציות המצביעות על כך שגרסת תוכנת הכופר הקשורה ל-Kasseika עשויה להיות תוצאה של שחקן איום מנוסה שהשיג גישה או רכש נכסים מ-BlackMatter. ספקולציה זו נובעת מהעובדה שקוד המקור של BlackMatter לא נחשף בפומבי מאז פטירתו בנובמבר 2021.
תוכן העניינים
תקיפה של וקטורים המשמשים להדבקת מכשירים עם תוכנת הכופר של Kasseika
רצפי ההתקפה של Kasseika מתחילים עם הודעת דיוג המיועדת לגישה ראשונית, ולאחר מכן פריסה של כלי גישה מרחוק (RATs) כדי לרכוש כניסה מורשות ולנווט לרוחב בתוך הרשת הממוקדת. יש לציין, שחקני איומים בתוך מסע פרסום זה נצפו המשתמשים בכלי שורת הפקודה Sysinternals PsExec של מיקרוסופט כדי להפעיל סקריפט אצווה לא בטוח. סקריפט זה בודק קיומו של תהליך הנקרא 'Martini.exe', ואם הוא מזוהה, מסיים אותו כדי להבטיח שרק מופע בודד של התהליך פועל על המחשב.
התפקיד העיקרי של קובץ ההפעלה 'Martini.exe' הוא להוריד ולהפעיל את מנהל ההתקן 'Martini.sys' משרת מרוחק. מנהל התקן זה אחראי על השבתת כלי אבטחה 991. זה רלוונטי להזכיר ש'Martini.sys' הוא מנהל התקן חתום לגיטימי עם השם 'viragt64.sys', ובכל זאת הוא נכלל ברשימת החסימות של מנהלי התקנים הפגיעים של מיקרוסופט. אם 'Martini.sys' לא נמצא, התוכנה הזדונית מפסיקה את עצמה, ומונעת ביצוע נוסף.
לאחר שלב זה, 'Martini.exe' יוזם את הביצוע של מטען הכופר, 'smartscreen_protected.exe', האחראי על תהליך ההצפנה באמצעות אלגוריתמי ChaCha20 ו-RSA. עם זאת, לפני תחילת ההצפנה, הוא מפסיק את כל התהליכים והשירותים הקשורים למנהל ההפעלה מחדש של Windows.
תוכנת הכופר של Kasseika דורשת תשלומי כופר מופקעים מהקורבנות
לאחר ההצפנה, מופקד שטר כופר בכל ספרייה מושפעת, מלווה בשינוי של טפט המחשב המציג דרישה לתשלום של 50 ביטקוין לכתובת ארנק שצוינה. התניה היא לבצע את התשלום תוך 72 שעות; אחרת, קיים איום של חיוב נוסף של $500,000 כל 24 שעות לאחר תום המועד האחרון.
יתר על כן, הקורבנות נדרשים לשתף צילום מסך המאשר את התשלום המוצלח בקבוצת טלגרם הנשלטת על ידי שחקן כדי לקבל את כלי הפענוח.
תוכנת הכופר של Kasseika מצוידת ביכולות מאיימות נרחבות
בנוסף לפונקציות העיקריות שלה, תוכנת הכופר של Kasseika משתמשת בטקטיקות נוספות כדי לכסות את עקבותיה. טכניקה אחת כזו כוללת מחיקת עקבות של פעילותה על ידי שימוש בקובץ הבינארי wevtutil.exe כדי לנקות את יומני האירועים של המערכת. פקודה זו מוחקת ביעילות את יומני האירועים של היישום, האבטחה והמערכת במערכת Windows. על ידי שימוש בשיטה זו, תוכנת הכופר פועלת בדיסקרטיות, ומגבירה את הקושי של כלי אבטחה לזהות ולהגיב לפעילויות זדוניות.
דרישת הכופר שהציגה תוכנת הכופר של Kasseika לקורבנות נכתבת:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
